脅威リサーチ

TOTOLINKの新たな脆弱性がBeastmode Mirai攻撃の標的に

投稿者 Joie Salvio および Roy Tay | 2022年5月31日

FortiGuard Labs Research

影響を受けるプラットフォーム: Linux
影響を受けるユーザー:     あらゆる組織
影響:             リモートの攻撃者による脆弱なシステムの乗っ取り
深刻度:            クリティカル

FortiGuard Labsチームは2022年2月から3月にかけて、MiraiベースのDDoS攻撃であるBeastmode(別名B3astmode)が、エクスプロイト用の武器を活発に更新していることを確認しました。1ヵ月間で5つの新しいエクスプロイトが追加され、そのうち3つはさまざまなモデルのTOTOLINKルーターを標的にしていました。

今回のTOTOLINKエクスプロイトの追加は、特に注視する必要があります。これらのエクスプロイトは、GitHubでエクスプロイトコードが公開されたわずか1週間後に追加されているからです。我々が以前報告したMANGA攻撃でも、公開後数週間のエクスプロイトコードが利用されていました。

脅威アクターは、新たに公開されたエクスプロイトコードを素早く取り入れることで、脆弱なデバイスを感染させ、脆弱性を解決するパッチが適用される前に、自分たちのボットネットを拡大することができます。

TOTOLINKはすでに、影響を受けたモデル向けに最新のファームウェアをリリースし、ユーザーにデバイスの更新を強く推奨しています。

このブログでは、この攻撃がTOTOLINKの脆弱性を利用して標的のデバイスを制御する方法と、そうした攻撃からユーザーを保護する手段について解説します。

新しい脆弱性の悪用

Beastmode攻撃は、バイナリサンプルで使用されているファイル名とURL(図1)、さらにはエクスプロイトリクエスト内の固有HTTPのUser-Agentヘッダー「b3astmode」(図2)にその名前の由来があります。バイナリサンプルは、一般に入手可能なMiraiボットネットのソースコードに基づいています。

図1:ハニーポットログの抜粋。ファイル名とURLに「beastmode」と「b3astmode」が使用されている

ブルートフォース攻撃は別にして、Beastmodeは大半のDDoSボットネットと同じく、より多くのデバイスを感染させるために、以下のように多種類のエクスプロイトを使用します。

CVE-2022-26210はTOTOLINK A800R、A810R、A830R、A950RG、A3000RU、A3100Rを標的にします(図2)。

図2:CVE-2022-26210エクスプロイトリクエスト

CVE-2022-26186はTOTOLINK N600R、A7100RUを標的にします(図3)。

図3:CVE-2022-26186エクスプロイトリクエスト

CVE-2022-25075/25076/25077/25078/25079/25080/25081/25082/25083/25084は一連の類似する脆弱性で、TOTOLINK A810R、A830R、A860R、A950RG、A3100R、A3600R、T6、T10ルーターを標的にします(図4)。

興味深いことに、2022年2月20日に発見されたサンプルは、URLにタイプミスがありました。すなわち、デバイスで使用されている「downloadFlile.cgi」ではなく、「downloadFile.cgi」が使用されていました。このミスはサンプルが発見された3日後に修正されており、この攻撃が活発に開発および実施されていることを示唆しています。

図4:CVE-2022-25075エクスプロイトの正しいリクエスト

この攻撃ではTOTOLINK製品のほか、製造中止になったD-Link製品(DIR-810L、DIR-820L/LW、DIR-826L、DIR-830L、DIR-836L)も、CVE-2021-45382を利用した攻撃を受けました(図5)。これらの製品は生産 / サポート期間が終了しているため、更新されたファームウェアを適用することができません。

図5:CVE-2021-45382エクスプロイトリクエスト

注目すべきは、この攻撃がCVE-2021-4045も悪用しようとしていた点です(図6)。これはTP-Link Tapo C200 IPカメラの脆弱性で、他のMiraiベースの攻撃では観測されていないものです。現時点でこのエクスプロイトは正しく実装されていないとはいえ、デバイスの所有者はカメラのファームウェアを更新し、脆弱性を解決しておくべきでしょう。

図6:CVE-2021-4045エクスプロイトリクエスト

FortiGuard Labsのリサーチャーが解析したサンプルからは、2つの古い脆弱性も見つかりました。すなわち、Huawei HG532ルーターを標的にしたCVE-2017-17215(図7)と、NUUO NVRmini2 / NVRsolo / CrystalデバイスおよびNETGEAR ReadyNAS Surveillanceを標的にしたCVE-2016-5674(図8)です。

図7:CVE-2017-17215エクスプロイトリクエスト

図8:CVE-2016-5674エクスプロイトリクエスト

これらの脆弱性は多種多様な製品に影響を与える一方、脅威アクターがコマンドをインジェクションし、エクスプロイトの成功後に実行できるという点では類似しています。それには通常、wgetコマンドが使用されます。wgetでシェルスクリプトをダウンロードし、デバイスをBeastmodeに感染させます。

さらには、それぞれのエクスプロイトのシェルスクリプトが若干異なります。CVE-2021-45382、CVE-2022-26186、CVE-2022-25075のエクスプロイトによってダウンロードされた各スクリプトのスニペットを図9に示します。

図9:異なるファイル名とパラメーターで実行されるBeastmode

上の図に示すように、各スクリプトは同じファイルを違うファイル名でダウンロードし、違うパラメーターで実行されます。

例えば、CVE-2021-45382の脆弱性には、D-Linkルーターファームウェアの「DDNS」という機能が関係しています。この脆弱性のエクスプロイトが成功すると、シェルスクリプト「ddns.sh」がダウンロードされ実行されます(図5)。次に、スクリプトは図9に示すように、Beastmodeのバイナリをダウンロードします。このバイナリは「ddns」という名前をつけて保存され、パラメーター「ddns.exploit」で実行されます。このパラメーター(青色で表示)によって、感染したデバイスは自らをボットネットのサブグループ「ddns.exploit」として登録します。その後、ボットネットのオペレーターは、ボット数を数えて特定のエクスプロイトの実現性を判断したり、単に管理を容易にしたりするためにこのデバイスを利用します。

デバイスがBeastmodeに感染すると、オペレーターはボットネットを使用して、以下のようにさまざまなDDoS攻撃を実行できます。これらは他のMiraiベースのボットネットでもよく見られる攻撃です。

  • attack_app_http
  • attack_tcp_ack
  • attack_tcp_syn
  • attack_udp_plain
  • attack_udp_vse
  • attack_udp_ovhhex
  • attack_udp_stdhex
  • attack_udp_CLAMP

結論

オリジナルのMiraiの作成者は2017年に逮捕されましたが、このブログでは脅威アクター、例えばBeastmode攻撃の背後にいる人物が、新たに公開されたエクスプロイトコードをいつでも素早く導入し、パッチが適用されていないデバイスをMiraiマルウェアに感染させる方法を解説しました。

FortiGuard Labsのリサーチャーは、進化し続ける脅威を継続的に監視することで、IoTデバイスを標的にしたMiraiの亜種やマルウェアに悪用される新たな脆弱性を特定し、そうした脅威への意識の向上を促し、お客様のネットワークの安全性を高めています。

フォーティネットのソリューション

フォーティネットのお客様は以下によって保護されています。

FortiGuard IPレピュテーションおよびアンチボットネットセキュリティサービスは、フォーティネット分散ネットワークから悪意ある送信元IPのデータを収集し、これらの攻撃を事前にブロックします。この分散ネットワークでは、脅威センサー、CERT、MITRE、協力関係にある他社、その他のグローバルソースが連携し、悪意ある送信元に関する最新の脅威インテリジェンスを提供しています。

IOC(Indicators of Compromise:侵害指標)

ダウンロードURL

http://195.133.18[.]119/beastmode/b3astmode.86_64

http://195.133.18[.]119/beastmode/b3astmode.arm4

http://195.133.18[.]119/beastmode/b3astmode.arm5

http://195.133.18[.]119/beastmode/b3astmode.arm6

http://195.133.18[.]119/beastmode/b3astmode.arm7

http://195.133.18[.]119/beastmode/b3astmode.m68k

http://195.133.18[.]119/beastmode/b3astmode.mips

http://195.133.18[.]119/beastmode/b3astmode.mpsl

http://195.133.18[.]119/beastmode/b3astmode.ppc

http://195.133.18[.]119/beastmode/b3astmode.sh4

http://195.133.18[.]119/beastmode/b3astmode.x86

 

C2のIP

195.133.18[.]119

136.144.41[.]69

 

サンプル(SHA256)

04a50c409a30cdd53036c490534ee7859b828f2b9a9dd779c6b0112b88b74708

0ca74024f5b389fcfa5ee545c8a7842316c78fc53d4a9e94c34d556459a58877

0d442f4327ddd254dbb2a9a243d9317313e44d4f6a6078ea1139ddd945c3f272

14726d501dd489e8228af9580b4369819efb3101f6128df1a1ab0fcc8d96e797

18cefe4333f5f1165c1275c956c8ae717d53818b2c5b2372144fb87d6687f0d8

36a85f2704f77d7e11976541f3d77774109461e1baae984beb83064c2e34239a

3d0a119b68044b841128e451d80ee41d8be9cc61f9ff9a01c3db7d3271e15655

5adfd18422a37a40e6c7626b27d425a4c5a6ca45ecbc8becd690b8533d9d6c7c

635569c7612278d730cb87879843de03d1ea0df4e1c70262ab50659780eace3b

676b2aa6839606d49bbd2f29487e4c218e7d14dd1a9b870edcabdd11fcab9cf7

9c88fa218af7fb72188a0262b3a29008fedcf3d434b90e8fa578ac8f250f5025

a21aa45045c0d4b0d785891b8be57496d62bc2396d01c24a34b40f3e2227ef07

a5cbe89bf1f3121eb2012e3c5bb5c237c613b8b615384be0f1cc92817a2f1efe

a6a7e46bd0e9ec67a1adec64af8fddee18ce019f731ee9cbf8341b35b2519dd9

b573f4d58b1fe6309b90611dd1d1030d7a3d1eb8ddb18de6dc58eefa876820fd

be3248d97653e8f97cb8f69af260f03b19965489478211a5565b786e9f5d3c02

ca8980cb3bd286e41950d78555fd070eaf2d3bebf2751cb0d12a3eff0a41f829

cd48523a6dced4054cce051d4dd8c06268cee375e56afbf59d724faa91c3e766

d799ae8a017e76d22f1f35f271ebae9168b7712dce0ce86753edabd6e5f4f0d6

ded30dbc39e310ebbc17a9667a14e7f0f2e08999bfc5ebd4eae5c1840b82860a

e7db388460d4e1f8d740018e6012af0ad785d3876a35c924db1f4982d7902db3

e85c3d3ed49d44b1ec3af89d730e129d68a32212e911e6431f405e201597f6ed

Learn more about Fortinet’s FortiGuard Labs threat research and intelligence organization and the FortiGuard Security Subscriptions and Services portfolio.